キヤノンMJ/サイバーセキュリティ情報局

BitLockerは解除すべきか? 無効化する方法と運用上の懸念点

  • この記事をはてなブックマークに追加
  • 本文印刷

本記事はキヤノンマーケティングジャパンが提供する「サイバーセキュリティ情報局」に掲載された「BitLockerはどう解除する?そもそも解除すべきか?」を再編集したものです。

 BitLockerはWindowsパソコン内蔵のストレージを暗号化することで、盗難・紛失時の情報漏えいリスクを軽減する。管理者権限があれば無効化も可能だが、セキュリティリスクを踏まえ、常に有効にしておくことが推奨される。この記事では、BitLockerを無効化する手順を解説した上で、その他の暗号化の方法についても紹介する。

BitLockerとは

 BitLockerは、Windowsの主要なバージョンに標準で搭載されている。コンピューターに内蔵されたハードディスクやSSDといったストレージを暗号化し、その端末を盗難・紛失した際の情報漏えいリスクを抑制可能だ。

 また、パソコン廃棄時の情報漏えいリスクを軽減できるのもBitLockerを利用するメリットの1つと言える。ハードディスクを廃棄する場合、物理的に破壊し、実質的に内部データへアクセスできなくする方法がある。一方、近年パソコンに搭載されることが増えているSSDの場合、専用の装置を使ってさらに細かく粉砕する必要がある。しかし、廃棄の際にパソコンを初期化し、ストレージをフォーマットした上で、BitLockerを使って暗号化をかければ、ファイルの復元はほぼ不可能となる。

ストレージを暗号化する「BitLocker」とは?利用する上での注意点はあるのか?
https://eset-info.canon-its.jp/malware_info/special/detail/201224.html

BitLockerを利用する上での懸念点

 データの安全性を高めるというメリットを享受できるのがBitLockerの暗号化機能だが、その導入の結果としてパソコンに不具合が生じてしまうなど、コンピューターの管理に困る状況に陥るケースがあるのも事実だ。

 例えば、パソコン自体が起動しない、ストレージが認識されないといった問題が発生する可能性もあり得る。このような場合、BitLockerを利用しているとストレージ自体が暗号化されているため、ストレージを取り出して、ほかの端末から読み取るといった対応を選択できない。

 BitLockerで暗号化したパソコンに問題が発生した際は、セーフモードで起動し、問題を解決していくことになる。そのような場合であっても、BitLockerを設定している限り、回復キーの入力が求められる。回復キーとはBitLocker設定時に発行される48桁の文字列で、BitLockerの管理には欠かせない。

BitLockerの回復キーを紛失した時の対処法
https://eset-info.canon-its.jp/malware_info/special/detail/210825.html

BitLockerを無効化する方法

 BitLockerを一時的に無効化したいと考える場合、以下の手順で進めていくことになる。

・「コントロールパネル」>「システムとセキュリティ」>「BitLockerドライブ暗号化」(Windows 10 Homeの場合は『デバイスの暗号化』)を選択する。
・「BitLockerを無効にする」をクリックする。
・確認画面でBitLockerの無効化を選択すると、解除処理が開始される。

 BitLockerの設定を変更するには、パソコンの管理者権限が必要になる。企業・組織においてパソコンを一括で管理している場合、BitLockerを無効化する前に社内のIT担当者へ確認する必要があるだろう。その企業・組織のポリシーを遵守しなければならないためだ。

 また、コントロールパネルから同様の手順でBitLockerを再度、有効化することも可能だ。その際は回復キーが改めて発行される点に注意しておきたい。回復キーを適切に管理するためにも、自身の利用環境に応じたバックアップの手段を選択しておく必要がある。

BitLockerを停止しなければならない状況

 パソコンのOSに影響を及ぼし、正常な起動が困難な状況に陥った結果、起動時にブルースクリーンが表示されるケースがある。その際に、要求されたBitLockerの回復キーを正しく入力したにも関わらず、入力の要求が繰り返される事象が報告されている。このような状況に陥った際には、コマンドプロンプトを利用してBitLockerを停止し、問題を解決する。

 具体的には以下のような手順で進めていくことになる。

・ブルースクリーンに表示される「回復オプションの詳細は、Escキーを押してください」の指示に従いEscキーを押下する。
・「トラブルシューティング」 > 「詳細オプション」 > 「コマンドプロンプト」を選択する。
・BitLockerによってロックされているか状態を確認するコマンド「manage-bde -status c:」を入力する。
・ロック状態にあれば、解除するコマンド「manage-bde -unlock c: -rp 48桁の回復キー」を入力する。
・BitLockerを無効化する場合、コマンド「manage-bde -protectors -disable c:」を入力する。
・上記対応を行った後、正常にログインできることを確認する。

 コマンドプロンプト経由でBitLockerを無効化した場合、ブルースクリーンの原因が解決に至ったのであれば、再びコントロールパネルからBitLockerを有効化することが推奨される。コマンドプロンプトからBitLockerを無効化する場合でも、やはり回復キーの入力が求められる。そのため、回復キーの管理がは極めて重要である点は改めて認識しておいてほしい。

BitLockerの代替案

 BitLockerはパソコンの紛失・盗難時の情報漏えいリスクを軽減するため、常に有効化しておきたい機能だ。また、企業・組織では暗号化に関するセキュリティポリシーを策定し、全従業員に遵守するよう求めている場合もある。

 そのような場合、各ユーザーに管理者権限が付与されている状況は少ないと考えられるが、仮に管理者権限を有している場合であっても、BitLockerの設定変更が必要となる際は、情報システム部など、端末の管理を担当している部署へ事前に確認するのが望ましい。

 BitLockerのようなストレージの暗号化を行うソリューションを検討する際は、ほかの選択肢を考慮してもよいだろう。例えば、オープンソースの暗号化ソフトウェアとして無料で提供されているVeraCrypt、Cryptomatorなどを利用する選択肢が候補に挙がる。Windowsに限らず、Mac OSやLinuxでもストレージが暗号化できるというメリットがあるためだ。

 また、有償のソリューションも数多くのベンダーから提供されている。一般的に、有償のツールの場合、端末管理の手間やセキュリティポリシーの遵守といった管理者向け機能が優れている。

 例えば、有償ツールの1つである「ESET Endpoint Encryption」は、データ暗号化を行うエンドポイントソリューションだ。起動前認証(プリブート認証)を採用しているという特長があり、認証に成功しない限りOSが起動されないため、安全性はより高まる。また、OSに対してパスワードクラックを仕掛けられるといったリスクも軽減できる。

 加えて、ESET Endpoint Encryptionはデバイス内蔵のストレージを全体で、またはパーティション単位で暗号化するフルディスク暗号化の機能を提供している。BitLockerでは暗号化の対象にならなかった領域まで暗号化できるのが強みと言える。

 ESET Endpoint Encryptionでは管理用プログラムが無償で提供されるため、管理作業の負担も軽減される。例えば、ユーザーがパスワードを忘れてしまった場合でも、管理画面から回復パスワードを発行し、再設定が可能だ。ほかにも、管理者による自動暗号化、暗号化ステータスの確認、復号の制限といった機能が含まれる。

 近年、情報漏えい事件が多数報じられる中、盗難・紛失のリスクを軽減できるディスク暗号化は必須の機能となりつつある。そして、その暗号化を有効化しているかどうかによって、データ漏えい時の被害の規模が大きく変わってくるだろう。万一の際に備え、ストレージの暗号化について対応状況を確認しておきたい。